امنیت معنایی

امنیت معنایی (به انگلیسی: Semantic security) اولین بار توسط گلدواسر و میکالی در سال ۱۹۸۴ اینگونه تعریف شد که یک مفهوم امنیتی برای رمزنگاری کلید عمومی است. معنای شهودی آن این است که یک متن رمزشده نباید اطلاعات مهمی را دربارهٔ متن رمزنشده فاش کند. به عنوان مثال حتی اگر یک حمله‌کننده بداند که یک متن رمزنشده صفر یا یک است، متن رمزشده نباید به او در تشخیص صفر یا یک بودن آن کمک کند. از زمانی که این مفهوم مطرح شده‌است، طرح‌های مختلفی برای رمزنگاری کلید عمومی در راستای تأمین امنیت معنایی، ارائه شده‌اند.^[۱] ^[۲]

امنیت معنایی مطابق با امنیت مطلقی است که توسط کلود شانون مطرح شد. در واقع در مقایسه با امنیت مطلقی که شانون مطرح کرد، می‌توان امنیت معنایی را نسخه محدود به مرتبه چندجمله‌ای امنیت مطلق شانون تلقی کرد.^[۱] پس از گلدواسر و میکالی، گلدریچ تعریف امنیت معنایی را بهبود بخشید. وی امنیت معنایی را به این صورت تعریف کرد: اگر A حمله‌کننده‌ای باشد که به طرح رمزگذاری (Pε = (K, ε, D حمله می‌کند، در ابتدا یک پیام تصادفی x از محدوده پیام $X_{k}$ تولید می‌شود که در هر فضای چندجمله‌ای قابل نمونه‌برداری است. سپس x رمزگذاری می‌شود تا متن رمزشده y را تولید کند. اگر pk کلید عمومی باشد، |x| طول پیام باشد و (h(x اطلاعات قبلی x باشد، حمله‌کننده سعی می‌کند تا هر گونه اطلاعات (f(x را در مورد x استخراج کند. اگر برای هر حمله‌کننده A شبیه‌ساز آن یعنی $(A^{\prime })$ وجود داشته باشد به طوری که بتواند (f(x را تنها از روی ((pk, |x|, h(x) به خوبی خود A حدس بزند، آنگاه Pε امن تلقی می‌شود.^[۳]

سیستم امنیت معنایی[ویرایش]

اگر حمله‌کننده $A=(A_{1};A_{2})$ مراحل زیر را انجام دهد:

یک کلید رمز K از مجموعه $\{0,1\}^{k}$ استخراج می‌شود.

مرحله اول: $A_{1}$ یک توزیع قابل نمونه‌برداری D را بر مجموعه $\{0,1\}^{l}$ به همراه اطلاعات وضعیت s تولید کرده تا در مرحله دوم حمله آن‌ها را ارسال کند.
پیام m از مجموعه $\{0,1\}^{l}$ بر اساس توزیع D استخراج می‌شود. $m{\xleftarrow {D}}\{0,1\}^{l}$
و یک عدد تصادفی r از مجموعه $\{0,1\}^{\mu }$ استخراج می‌شود. $r{\xleftarrow {R}}\{0,1\}^{\mu }$
و سپس متن رمزشده c اینگونه محاسبه می‌شود: $c={\varepsilon }_{k}(m;r)$

مرحله دوم: $A_{1}$ اطلاعات وضعیت s و متن رمزشده c را دریافت می‌کند و مسند f را تولید می‌کند.

حمله‌کننده در صورتی موفق است که (f(m درست باشد. این بدان معناست که حمله‌کننده قادر بوده حداقل یک بیت‌ اطلاعات در مورد m از متن رمزشده به دست آورد. هرچند موفقیت حمله‌کننده از طریق تولید یک مسند ثابت به سادگی امکان‌پذیر است. در صورتی که مسند m ,f را با مقداری بزرگتر از هر متن رمزنشده تصادفی دیگر داشته باشد، حمله‌کننده توانسته امنیت معنایی را نقض کند.
برتری یک حمله‌کننده $({Adv}_{\pi }^{sem}(A))$ در مقابل امنیت معنایی یک طرح رمزگذاری ${\pi }$ با رابطه زیر تعریف می‌شود:

$P_{r}{\begin{bmatrix}k{\xleftarrow {R}}\{0,1\}^{k};(D,s){\xleftarrow {}}{A_{1}};\\m,m^{\prime }{\xleftarrow {D}}\{0,1\}^{l};r{\xleftarrow {R}}\{0,1\}^{\mu };\\c={\varepsilon }_{k}(m;r);f{\xleftarrow {}}{A_{2}(s,c)}:\\f(m)=1\end{bmatrix}}-P_{r}{\begin{bmatrix}k{\xleftarrow {R}}\{0,1\}^{k};(D,s){\xleftarrow {}}{A_{1}};\\m,m^{\prime }{\xleftarrow {D}}\{0,1\}^{l};r{\xleftarrow {R}}\{0,1\}^{\mu };\\c={\varepsilon }_{k}(m;r);f{\xleftarrow {}}{A_{2}(s,c)}:\\f(m^{\prime })=1\end{bmatrix}}$

یک طرح رمزگذاری ${\pi }$ در صورتی که برای هر حمله‌کننده A در مدت زمان t رابطه $({Adv}_{\pi }^{sem}(A))\leqslant {\varepsilon }$ برقرار باشد، (ε, t)-امن از لحاظ معنایی نامیده می‌شود.

یک طرح رمزگذاری ${\pi }$ در صورتی که حمله‌کننده A حداکثر $e_{1}$ و $d_{1}$ درخواست رمزگذاری در مرحله اول و به ترتیب $e_{2}$ و $d_{2}$ درخواست رمزگشایی در مرحله دوم داشته باشد و در مدت زمان t رابطه $({Adv}_{\pi }^{sem}(A))\leqslant {\varepsilon }$ برقرار باشد، (ε, t, $e_{1}$ , $d_{1}$ , $e_{2}$ , $d_{2}$ )-امن از لحاظ معنایی نامیده می‌شود.^[۴]

انواع امنیت معنایی[ویرایش]

امنیت معنایی دو حالت انتخابی و تطبیقی دارد. در حالت انتخابی حمله‌کننده هویت هدف خود را در آغاز کار انتخاب می‌کند اما در حالت تطبیقی هویت هدف را بعد از ارسال چند پرس و جوی تطبیقی به یک پایگاه داده که کلیدهای سری را مطابق با هویت‌های درخواستی ارائه می‌دهد و بر اساس نتایج آن‌ها تعیین می‌کند، که در این حالت هدف حمله کمتر حالت انتخابی دارد.^[۵]

جستارهای وابسته[ویرایش]

امنیت مطلق

منابع[ویرایش]

↑ ^۱٫۰ ^۱٫۱ باقرزندی. علی، عظیمیان. کوشیار، مهاجری. جواد، سلماسی زاده. محمود. "بررسی ارتباط بین امنیت معنایی و تمایزناپذیری در برابر حملات متن آشکار منتخب، متن رمز منتخب غیر تطبیقی و متن رمز منتخب تطبیقی در چارچوب مدل مقایسه ای". سومین کنفرانس انجمن رمز ایران، ۱۳۸۴
↑ Ryo Nojima, Hideki Imai, Kazukuni Kobara, and Kirill Morozov." Semantic security for the mceliece cryptosystem without random oracles". Des. Codes Cryptography, 49(1-3):289–305, 2008
↑ Yodai. Watanabe, Junji. Shikata, and Hideki. Imai. "Equivalence Between Semantic Security and Indistinguishability Against Chosen-Ciphertext Attacks". Public-Key Cryptography 2003, LNCS vol 2567, Springer-Verlag, pp. 71–84, 2003
↑ Duong Hieu Phan and David Pointcheval. "About the security of ci- phers (semantic security and pseudo-random permutations)". In Proc. Selected Areas in Cryptography (SAC’04), volume 3357 of Lecture Notes in Computer Science, pages 185–200, Springer-Verlag, 2004
↑ Javie. Herranz, Fabien. Laguillaumie, Carla. Ràfols." Relations between semantic security and anonymity in identity-based encryption". Information Processing Lecturers 111 (2011) 453-460

[ref1-1] ۱٫۰ ^۱٫۱ باقرزندی. علی، عظیمیان. کوشیار، مهاجری. جواد، سلماسی زاده. محمود. "بررسی ارتباط بین امنیت معنایی و تمایزناپذیری در برابر حملات متن آشکار منتخب، متن رمز منتخب غیر تطبیقی و متن رمز منتخب تطبیقی در چارچوب مدل مقایسه ای". سومین کنفرانس انجمن رمز ایران، ۱۳۸۴

[2] Ryo Nojima, Hideki Imai, Kazukuni Kobara, and Kirill Morozov." Semantic security for the mceliece cryptosystem without random oracles". Des. Codes Cryptography, 49(1-3):289–305, 2008

[3] Yodai. Watanabe, Junji. Shikata, and Hideki. Imai. "Equivalence Between Semantic Security and Indistinguishability Against Chosen-Ciphertext Attacks". Public-Key Cryptography 2003, LNCS vol 2567, Springer-Verlag, pp. 71–84, 2003

[4] Duong Hieu Phan and David Pointcheval. "About the security of ci- phers (semantic security and pseudo-random permutations)". In Proc. Selected Areas in Cryptography (SAC’04), volume 3357 of Lecture Notes in Computer Science, pages 185–200, Springer-Verlag, 2004

[5] Javie. Herranz, Fabien. Laguillaumie, Carla. Ràfols." Relations between semantic security and anonymity in identity-based encryption". Information Processing Lecturers 111 (2011) 453-460

[۱]

[۲]

[۳]

[۴]

[۵]